Duro golpe a la reputación de Decathlon en España. La cadena de grandes superficies de material deportivo ha sufrido una brecha de seguridad que ha expuesto hasta 123 millones de datos relativos a tiendas, empleados y usuarios. Los hechos se remontan al 12 de febrero, cuando la firma de ciberseguridad VpnMentor identificó una importante filtración de datos que se corresponde con un servidor vinculado a Decathlon España y que también podría afectar a la filial de la compañía francesa en el Reino Unido. No se descarta que pueda haber más localizaciones afectadas por esa brecha. La mala configuración de esa base de datos habría permitido a cualquier atacante poder acceder al contenido almacenado en su red. Más que ser hackeada se trataría de un error de la propia compañía.

La filtración contiene un «verdadero tesoro» de datos, según apuntó la compañía de ciberseguridad. Sus investigadores pudieron «encontrar y verificar» datos de usuarios y contraseñas sin encriptar de sus empleados, números de la Seguridad Social, teléfonos móviles, direcciones, periodos de contratación y correos de clientes, entre otros. En total 123 millones de datos que ocupan hasta 9GB.

Sin embargo, desde Decathlon, que fue informada de esa filtración de datos el 16 de febrero, cuatro días después del hallazgo, rebajaron la magnitud del impacto. La compañía remarcó que «este incidente no ha afectado a datos sensibles». «Según nuestros análisis, de la totalidad de datos expuestos en el incidente, solo el 0,03% son datos de usuarios, y el 99,97% restantes son datos técnicos internos», detallaron.

Decathlon aseguró que la seguridad de sus sistemas informáticos «es una prioridad» y que el incidente compartido por vpnMentor «fue solucionado de forma inmediata». «En ningún caso se han visto afectados ni contraseñas, ni números de tarjetas de crédito, ni información personal sensible», reiteraron. Por su lado, la firma de ciberseguridad vpnMentor explicó que esa fuga de información puede convertirse en una arma peligrosa en manos de cibercriminales. En caso de tratarse de un robo, estos podrían utilizar los datos usurpados a Decathlon para perpetrar delitos como robo de identidad, espionaje corporativo o phishing, como se conoce la suplantación de identidad de una fuente legítima. También puede dar lugar a amenazas físicas a los afectados, dado que se ha filtrado el lugar de trabajo y el domicilio.